Viele Unternehmen planen gezielt, wann sie den Verlust sensibler Kund:innen-Daten veröffentlichen. Eine neue Studie zeigt am Beispiel von börsennotierten US-Firmen, dass Unternehmen Datenlecks bevorzugt an Tagen melden, an denen andere Nachrichten die Schlagzeilen in den Medien dominieren.
Damit vermeiden sie stärkere Kursverluste am Aktienmarkt, riskieren aber größere Schäden der Betroffenen.
Jedes Jahr gelangen Unbefugte durch Hacking oder Datenpannen von Unternehmen an persönliche Informationen von Millionen Menschen, etwa an Passwörter, Kreditkartendaten oder Gesundheitsinformationen. Die Folgen für die Betroffenen können verheerend sein, von finanziellen Schäden bis hin zu Identitätsdiebstahl. Um ihre Kund:innen davor zu schützen, sind Firmen in vielen Ländern gesetzlich verpflichtet, den Vorgang den Aufsichtsbehörden zu melden und die Kund:innen zu informieren, wodurch die Lecks meist auch öffentlich werden.
In solchen Situationen ist eigentlich Eile geboten, um eine Verbreitung und möglichen Missbrauch der Daten einzudämmen. Allerdings bieten Gesetze den Unternehmen zeitliche Freiräume. In der Europäischen Union muss jedes Datenleck, das zu einem Risiko für betroffene Personen führen kann, innerhalb von 72 Stunden gemeldet werden. In den USA variieren die Meldefristen je nach Bundesstaat zwischen 30 und 90 Tagen.
Mehr als 8.000 Datenlecks in zehn Jahren
Als sich Jens Förderer, Professor für Innovation und Digitalisierung an der Technischen Universität München (TUM), und Sebastian Schütz, Professor für Wirtschaftsinformatik der Florida International University, mit solchen Vorfällen beschäftigten, wunderten sie sich, dass die Veröffentlichung der Datenverluste relativ geringe Folgen für den Aktienkurs der Unternehmen hatte. „Das hat uns überrascht, da Datenlecks für die Firmen ja einen Imageverlust und ein sinkendes Kund:innen-Vertrauen bedeuten, was ihren Wert am Aktienmarkt eigentlich stark belasten sollte“, sagt Jens Förderer. „Unsere Hypothese war, dass die Aufmerksamkeit der Anleger:innen abgelenkt war.“
Die Forscher identifizierten deshalb den Zeitpunkt der Veröffentlichung von mehr als 8.000 Datenlecks börsennotierter US-amerikanischer Unternehmen zwischen 2008 und 2018, wobei sie Informationen der Non-Profit-Organisation Identity Theft Resource Center (ITRC) nutzten. Dann glichen sie die Zeitpunkte mit Tagen ab, an denen viele Firmen ihre Quartalszahlen vorstellten – also Tagen, von denen im Voraus klar war, dass eine Vielzahl an marktrelevanten Informationen publik werden würde. Dafür werteten sie das „Wall Street Journal“ aus, die größte Wirtschaftszeitung der USA.
Deutliches Ergebnis bei Pannen mit Firmen-internen Ursachen
Die Studie bestätigt die Vermutung der Forscher: An Tagen, an denen andere Meldungen die Schlagzeilen dominierten, wurden signifikant mehr Datenlecks veröffentlicht. Besonders deutlich war der Zusammenhang zwischen Nachrichtenlage und Veröffentlichungstag bei schwerwiegenden Datenverlusten, bei Pannen mit Firmen-internen Ursachen und wenn Gesundheitsinformationen oder Ausweisdaten betroffen waren.
„An hektischen Tagen müssen sowohl Redaktionen als auch Analyst:innen Prioritäten setzen, welche Informationen sie aufgreifen. Unsere Ergebnisse legen nahe, dass Unternehmen die Bekanntgabe ihrer Datenlecks strategisch planen und gezielt auf eine geringere Aufmerksamkeit setzen“, sagt Förderer.
Geringere Kursverluste an Nachrichten-starken Tagen
In einem zweiten Schritt wollten die Forscher wissen, ob das Kalkül der Unternehmen aufgeht. Dafür untersuchten sie die Aktienkurse der Firmen nach der Bekanntgabe der Datenverluste. Zwar mussten die Unternehmen im Durchschnitt einen Kursverlust verzeichnen. Dieser fiel aber an Nachrichten-starken Tagen tatsächlich deutlich geringer aus.
„Unternehmen, die ihre Fehler im Umgang mit Daten im Schatten anderer Ereignisse verstecken, vermeiden so auch den öffentlichen Druck, dass sie selbst und andere Firmen stärkere Maßnahmen gegen Datenlecks ergreifen müssen“, sagt Sebastian Schütz.
„Spielräume eng fassen“
Die Wissenschaftler empfehlen, die Spielräume für die Bekanntgabe von Datenverlusten möglichst eng zu fassen. „Je länger die Meldefrist für einen Datenverlust ist, desto eher können Unternehmen die Bekanntgabe strategisch planen und den Zweck der Bekanntgabe unterlaufen“, sagt Jens Förderer.
www.tum.de